Snort里如何将读取的包记录存到二进制tcpdump文件下（图文详解）

 

 

　　不多说，直接上干货！

 

　　如果网络速度很快，或者想使日志更加紧凑以便以后的分析，那么应该使用二进制的日志文件格式。如tcpdump格式或者pcap格式。

 　  这里，我们不需指定本地网络了，因为所以的东西都被记录到一个单一的文件。你也不必冗余模式或者使用-d、-e功能选项，因为数据包的所有内容都会被记录到日志文件中。

 

[root@datatest ~]# snort -l /root/log -b
Running in packet logging mode

        --== Initializing Snort ==--
Initializing Output Plugins!
Log directory = /root/log
pcap DAQ configured to passive.
Acquiring network traffic from "eth0".
Decoding Ethernet

 

 　　得到

 

 

 　　大家，可以打印到屏幕上来看看。

[root@datatest log]# pwd
/root/log
[root@datatest log]# ll
total 12
-rw-------. 1 root root 2826 Aug  9 23:12 snort.log.1502291522
-rw-------. 1 root root 1318 Aug  9 23:33 snort.log.1502292829
-rw-------. 1 root root 2153 Aug  9 23:43 snort.log.1502293399
[root@datatest log]# snort -dev -r snort.log.1502293399

 

 

 

　　进一步，见

Snort 命令参数详解